泛微e-cology OA系统SQL注入漏洞安全通告
发布时间 2019-10-10漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定
影响版本
泛微e-cology OA系统 JSP版本
漏洞概述
泛微e-cology OA是国内应用广泛的OA解决方案。
泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。
对泛微e-cology OA系统JSP版本在我国境内的分布情况进行统计,结果显示使用该版本数量约为7430个。
漏洞验证
暂无POC/EXP。
修复建议
目前,泛微OA官方暂未发布补丁,临时解决方案如下:
1、使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;
2、使用预编译的处理方式处理拼接了用户参数的SQL语句;
3、在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;
4、在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;
5、定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL 语句执行
参考链接
https://mp.weixin.qq.com/s/iB22Npjcyv8vFgKx8sLR8Q
京公网安备11010802024551号